ソース： medium.com 脆弱性：OTP 訳： #### 発見プロセス セキュリティを強化するために OTP を採用した Web サイトを使用しているときに、その OTP 処理に異常があることに気付き。 この脆弱性をどのように特定したかを段階的に説明し。 1. **OTP のリクエ…

ソース： nickguitar.medium.com 脆弱性：SSRF, Subdomain, XSS 訳： 私はまず偵察を行い、できる限り多くのサブドメインを列挙して。 当時、プログラムの対象となるドメインは 6 つほどありましたが、私は次のことに焦点を当て。 globe.gov、これは NASA が…

ソース： medium.com 脆弱性：CORS 訳： 今日はプライベート プログラムで見つけた CORS について話します。 それをprivate.comと呼びましょう。 いくつかの偵察を行った後、xyz.private.com というドメインを見つけて。 クロールやパラメータの調査などを開…

ソース： jayateerthag.medium.com 脆弱性：CORS 訳： 私は Google の買収の 1 つ (Kaggle) を見て。Kaggle は機械学習コミュニティによって世界中で使用されており、かなり有名で。 Web サイト全体で CSRF のバグを探してみましたが、すべて無駄で。また、C…

ソース： medium.com 脆弱性：認証 訳： メディアのブログを読んでいると、クッキーに関する気になる記事を見つけ。 拡張機能について読みました CookieEditor タブを離れることなく Cookie を作成、変更、削除できる。 そこで、クッキーを使って遊んでみて…

ソース： medium.com 脆弱性：CSRF、CORS 訳： Web サイトを探索していたときに、管理者を招待するためのエンドポイントを見つけ。 次のようになり。 一見すると、CSRF 攻撃から安全であるように見えて。 HTML フォームを使用して JSON リクエストを送信する…

ソース： medium.com 脆弱性：IDOR 訳： 最近、機密の個人識別情報 (PII) が明らかになっただけでなく、アカウント乗っ取りの可能性も可能にする脆弱性を発見して。 発見 私は金融サービス プラットフォーム (BBP on H1) 上のイベント システムのセキュリテ…

ソース： medium.com 脆弱性：オープンリダイレクト 訳： 前回の記事で説明したように Open-Redirect に関する 、実際に実践してみましょう。 私には目標がありました。それを次のように呼びます redacted.com。 絶対 URL が渡されていることに気付きました…

ソース： xamiron.medium.com 脆弱性：OTP 訳： 今日のこの記事では、OTP をバイパスするために使用されている方法とテクニックについて説明し。 ステップ 1: この Web サイト、たとえば example.com に対して攻撃を開始し。 OTP の長さを知っておく必要があ…

ソース： medium.com 脆弱性：情報漏洩 訳： 導入 対象となったアプリケーションは、電話番号を使用してアカウントにログインまたはサインアップできるソーシャル ライブ ストリーミングアプリ。 アカウントを作成するには、指定された電話番号に送信された…

ソース： bxmbn.medium.com 脆弱性：XSS, Google Dork 訳： XSS の見つけ方、「方法論」とは何なのか、どのようなツールを使用しているのかなどについて、多くの質問を受けて。 まず最初に言っておきたいのですが、私の狩猟はすべて 100% 手動であり、自動化…

ソース： blog.doyensec.com 脆弱性：SSRF 訳： 導入 サーバー側リクエスト フォージェリは、悪意のある攻撃者が被害者のサーバーを悪用して、攻撃者に代わって HTTP(S) リクエストを実行する脆弱性で。 通常、サーバーは内部ネットワークにアクセスできるた…

ソース： medium.com 脆弱性：アカウントの乗っ取り 訳： 最近、有名な食品ブランドの Web サイト let it hamm.com のパスワード リセット機能に、ゼロクリックでアカウントが乗っ取られる脆弱性を発見し。 この記事では、この欠陥により、攻撃者が何の操作…

ソース： medium.com 脆弱性：情報漏洩 訳： 発見 このプログラムの定期的なセキュリティ監査中に、バックエンド コードや漏洩したサーバー ライセンスなどの機密情報を特定し。それを見つける方法を知りましょう。 再現する手順： まず、ターゲットでサブド…

ソース： medium.com 脆弱性：OAuth 訳： Web サイトにアクセスしたことがある場合は、たとえ聞いたことがなくても、OAuth に一度は遭遇したことがあるでしょう。 「Google でサインイン」ボタンを見たことがありますか? もしそうなら、OAuth に出会ったこと…

ソース： medium.com 脆弱性：GraphQL 訳： これがすべての経緯です。 私に最初の賞金をもたらしたバグは、実際には 2 つのバグの組み合わせで。 私はメイン ドメインを探すことから始めまて。以前のブログでご存知の方もいるかもしれませんが、私は JavaScr…

ソース： levelup.gitconnected.com 脆弱性：XSS 訳： 私はソース コードのレビューから始めて、一連の JavaScript ファイルを確認し、最終的に次のように、 開発者がサーバーではなくアプリケーションが特定のアクションを実行した後にユーザーをリダイレク…

ソース： medium.com 脆弱性：API, IDOR 訳： API の IDOR 安全でない直接オブジェクト参照 (IDOR) は、攻撃者が Web アプリケーションの URL またはパラメーターで使用される識別子を操作することによってオブジェクトにアクセスまたは変更できる場合に発生…

ソース： ott3rly.com 訳： Shodan Dorking の奥深くを探索して、セキュリティ テストをレベルアップし。 Google では多くの Web サイトを検索できますが、Shodan ではサーバー、Web カメラ、洗濯機など、他のすべての Web サイトを検索できて。自分が悪者で…

ソース： ott3rly.medium.com 脆弱性：オリジンIP, WAF 訳： Web アプリケーション ファイアウォールは、脆弱性があることがわかっている場合に最も厄介で。 通常、Web サイトは古く、あまりよく管理されていないため、ほとんどの場合、Web サイトの上に WAF…

ソース： medium.com 脆弱性：Wordpress 訳： このブログでは、私が知っている一般的な WordPress の設定ミスと脆弱性についていくつか触れてみたいと思って。 →WordPressとは何ですか？ WordPress は、誰でも簡単に Web サイトを作成および管理できる、無料…

ソース： medium.com 脆弱性：XSS 訳： 私の主な目標は XSS を見つけることでしたので、ユーザーの入力を検索していて。 Web アプリの動作を観察するために、ランダムな文字列を入力して検索バーのテストを開始し。 ブラウザー DevTools で応答を見ると、二…

ソース： medium.com 脆弱性：XSS 訳： 例 1: セッションハイジャックの脆弱性 図 2: 脆弱なコード 図 3: クッキー ここでは、アプリケーションにCookieを設定し。 URL param(name) を操作して、スクリプトを実行し、攻撃者のエンドポイントに Cookie を送信…

ソース： medium.com 脆弱性：GraphQL, CSRF 訳： GraphQL は最新の Web アプリケーションでのデータ通信に好まれるツールであることが多いですが、セキュリティ上の問題が伴い。 その 1 つは、クロスサイト リクエスト フォージェリ (CSRF) 攻撃で。 CSRF …

ソース： medium.com 脆弱性：ビジネスロジック、RaceCondition、IDOR、SSRF、WAF 訳： まとめ： この対象プログラムは、Web スクレイピング機能と複数のログインアカウントを一度に簡単に利用できるブラウザ サービスを提供する会社で。 これはブラウザで使…

ソース： medium.com 脆弱性：XSS, WAF 訳： 今回の私の目的は、さまざまなエンドポイントで XSS を見つけることで。以前に 4 ～ 5 RXSS/Stored XSS を報告しましたが、このアプリケーションは他のエンドポイントでも XSS に対して依然として脆弱であると確…

ソース： medium.com 脆弱性：WAF（CloudFront） 訳： 最初に、Subfinder と HTTPX を介して、weather.gov のすべてのライブ サブドメインを収集して。 subfinder -d weather.gov all | httpx -mc 200 | tee weather_live.txt それがドメイン [ training.wea…

ソース： medium.com 脆弱性：Race Condition 訳： これは私の最初の記事であり、競合状態の脆弱性があるアカウントにさらに資金を追加する方法について説明します。 競合状態とは何ですか 競合状態は 、Web サイトが十分な保護なしで同時リクエストを処理す…

ソース： josipfranjkovic.blogspot.com 脆弱性：SQLi 訳：プログラムのことを知ったのは Nokia セキュリティ特典 4 月中旬のことで。 人々が 1 台以上の携帯電話を手に入れたという報告に興味を持ち、バグを探し始め。 いつものように、XSS/CSRF は人々に本…

ソース： infosecwriteups.com 脆弱性：IDOR 訳： この記事では、私が趣味で GCP (Google サイバーセキュリティ証明書) を勉強して取得しようとしていたときに、Coursera のプログラムで IDOR の脆弱性を偶然発見した経緯をお話したいと思い。 短い背景 それ…